Leads so einfach Zurück

Datenschutzerklärung

Stand: Mai 2026

Diese Erklärung beschreibt, wie die Nadavia GmbH (nachfolgend „wir“) als Anbieter der Plattform Leads so einfach (leads-so-einfach.de) personenbezogene Daten verarbeitet. Sie gilt für die Marketing-Webseite sowie für die Plattform-Nutzung durch unsere Geschäftskunden (Makler, Agenturen) und deren Mitarbeitende.

Wichtig zur Rolle: Für die Daten von Endkunden (Leads) unserer Geschäftskunden sind wir Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Verantwortlicher ist der jeweilige Makler bzw. die jeweilige Agentur (Tenant), die die Plattform einsetzt. Auskunfts- und Löschanträge zu Lead-Daten richtest du bitte direkt an den jeweiligen Tenant — die plattformeigene DSAR-Strecke ist unter /datenschutz/<tenant-slug> erreichbar.

1. Verantwortlicher

Nadavia GmbH
Teichweg 38, 56564 Neuwied, Deutschland
E-Mail: datenschutz@leads-so-einfach.de

2. Datenschutzbeauftragter

[Optional ergänzen — falls bestellt] Eine externe Beauftragte / ein externer Beauftragter ist (noch) nicht bestellt; gesetzlich ist dies aktuell nicht zwingend erforderlich. Anfragen erreichen uns unter der oben genannten E-Mail.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

3.1 Bereitstellung der Webseite

Beim Aufruf von leads-so-einfach.de werden vom Browser automatisch Server-Logs übertragen (IP-Adresse, Zeitpunkt, User-Agent, Referrer). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb). Speicherdauer: max. 30 Tage.

3.2 Plattform-Nutzung (Login, CRM-Funktionen)

Zur Anmeldung und Nutzung verarbeiten wir E-Mail-Adresse, Name, Tenant- und Rollenzuordnung sowie Sitzungsmetadaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: für die Dauer der Vertragsbeziehung sowie gesetzliche Aufbewahrungsfristen (z. B. § 257 HGB, § 147 AO bis 10 Jahre).

3.3 Kontaktanfragen / Demo-Termine

Bei Kontaktaufnahme (E-Mail, Demo-Buchung) werden die übermittelten Angaben zur Bearbeitung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

4. Cookies & lokaler Speicher

Wir setzen ausschließlich technisch notwendige Cookies — insbesondere ein Session-Cookie für den Login (Supabase-Auth) und ein lse_tenant-Cookie zum Speichern des aktiven Mandanten. Eine Einwilligung ist hierfür gemäß § 25 Abs. 2 Nr. 2 TDDDG nicht erforderlich. Tracking- oder Marketing-Cookies setzen wir nicht.

5. Auftragsverarbeiter & Subdienstleister

Mit allen unten genannten Dienstleistern besteht (oder wird vor produktivem Einsatz geschlossen) ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Drittlandtransfers werden über EU-Standardvertragsklauseln und ergänzende Maßnahmen abgesichert.

  • Supabase (Datenbank, Auth, Storage) — Hosting in der EU (Frankfurt). Anbieter: Supabase Inc., USA / EU-Region.
  • Vercel (Hosting, Edge-Funktionen) — Region FRA1 (Frankfurt). Anbieter: Vercel Inc., USA.
  • Resend (transaktionaler E-Mail-Versand). Anbieter: Resend, Inc., USA.
  • Mistral AI (KI-Konversationen, Embeddings). Anbieter: Mistral AI SAS, Frankreich (EU).
  • Anthropic (optional, Compliance-Gate für KI-Antworten). Anbieter: Anthropic, PBC, USA.
  • OpenAI (optional, Audio-Transkription Whisper). Anbieter: OpenAI, L.L.C., USA.
  • Sentry (Fehler-Monitoring). Anbieter: Functional Software, Inc., USA.
  • Stripe (Zahlungsabwicklung, sofern aktiv). Anbieter: Stripe Payments Europe Ltd., Irland.
  • Meta / WhatsApp Cloud API (sofern aktiv, für WhatsApp-Kommunikation). Anbieter: Meta Platforms Ireland Ltd., Irland.
  • WAHA-Hosting (Railway) (sofern aktiv, alternative WhatsApp-Anbindung). Hosting EU-Region, Anbieter: Railway Corp., USA.

6. KI-gestützte Verarbeitung

Eingehende WhatsApp- und Mail-Nachrichten können durch eine KI-Komponente (Mistral) verarbeitet werden, um Antwortvorschläge zu erzeugen oder einfache Routineanfragen automatisiert zu beantworten. Vor dem Versand passiert jede generierte Antwort ein Compliance-Gate. Die Inhalte und Metadaten werden zu Auditzwecken in der Tabelle ai_conversation_turns gespeichert (Aufbewahrung 5 Jahre, § 34d GewO).

7. Beratungsprotokolle

Bei Beratungsabschlüssen erstellt die Plattform automatisch ein Beratungsprotokoll als PDF inklusive SHA-256-Hash. Aufbewahrung: 5 Jahre gemäß § 61 VVG i. V. m. § 34d GewO.

8. Speicherdauer / Löschkonzept

Personenbezogene Daten werden nach Ende der Vertragsbeziehung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (insb. § 257 HGB, § 147 AO, § 61 VVG). Ein automatischer Datenretention-Cron-Job läuft täglich um 03:00 Uhr.

9. Deine Rechte

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig in Rheinland-Pfalz: LfDI Rheinland-Pfalz, Hintere Bleiche 34, 55116 Mainz.

10. Datensicherheit

Wir verwenden TLS-Verschlüsselung in Transit, AES-256-GCM-Verschlüsselung sensibler Tokens at rest, Row-Level-Security in der Datenbank zur Mandantentrennung sowie ein rollenbasiertes Zugriffskonzept. Optional erzwingbare Multi-Faktor-Authentifizierung pro Tenant.

11. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, sobald Änderungen an der Plattform oder geltendem Recht dies erfordern. Die jeweils aktuelle Fassung ist hier abrufbar.